CGPJ: Protecció de dades a l'àmbit judicial


Manuel Castilleja Toscano     20/02/2026


Guia de protecció de dades a l'àmbit judicial del CGPJ

Aquesta guia, publicada pel Consell General del Poder Judicial (CGPJ), estableix les directrius fonamentals per al tractament d'informació personal dins del sistema de justícia espanyol. El document detalla el marc legal vigent, incloent-hi el RGPD i lleis nacionals (LO 3/2018 i LO 7/2021), aplicables tant a funcions jurisdiccionals com administratives.

A la guia es defineixen rols clau, com els responsables i encarregats del tractament, i s'emfatitzen els principis essencials com la minimització de dades i la confidencialitat. A més, ofereix protocols estrictes per gestionar bretxes de seguretat, l'exercici de drets ciutadans i l'ús de tecnologies com ara la intel·ligència artificial. L'objectiu principal és fomentar una cultura de protecció de drets fonamentals entre jutges, lletrats i personal al servei de l'Administració de Justícia.

Els punts essencials que s'aborden a la Guia són:

1. Destinataris

El contingut d'aquesta Guia pràctica s'adreça a:

  • Jutges, jutges, magistrats i magistrades a l'exercici de la potestat jurisdiccional.
  • Lletrats i lletrades de l'Administració de Justícia en l'àmbit de les seves funcions.
  • Funcionaris, funcionàries i personal laboral al servei dels òrgans judicials.
  • Personal interí, en pràctiques o qualsevol altra persona que, per raó de la seva activitat, tingui accés a dades personals a l'àmbit judicial.

2. Rols i responsabilitats

  • Responsable del Tractament: és l'òrgan judicial competent (jutges i magistrats) qui decideix sobre els fins i els mitjans del tractament en el procés.
    Encarregat del Tractament:     l'Administració prestacional (Ministeri de Justícia o Comunitats Autònomes) actua com a encarregat i ha de garantir la seguretat tècnica.

    Delegat de Protecció de Dades (DPD): encara que les administracions tenen DPD, els tribunals no estan obligats a tenir-lo quan actuen en exercici de la seva funció judicial, per preservar-ne la independència (art. 37.1.a RGPD).

3. Principis del RGPD

El tractament de dades s'ha de regir pels principis de l'art. 5 RGPD, que actuen com a límits i garanties.

  • Licitud, Lleialtat i Transparència (art. 5.1.a RGPD):
    • Legitimació del tractament: es basa en el compliment duna missió d'interès públic o l'exercici de poders públics (art. 6.1.e RGPD).
    • Aixecament de la prohibició del tractament de dades de categoria especial: el tractament de dades de categoria especial (salut, biomètrics, ideologia, etc.) és permès quan és necessari per a la funció judicial o per a la formulació, l'exercici o la defensa de reclamacions (art. 9.2.f RGPD). Això no obstant, cal extremar la precaució i justificar-ne degudament la inclusió.
  • Limitació de la finalitat (art. 5.1.b RGPD):les dades recollides per a un procés judicial no es poden utilitzar per a fins diferents (per exemple, administratius o aliens al cas) sense habilitació legal.
  • Minimització de dades (art. 5.1.c RGPD): s'han de tractar únicament les dades adequades i estrictament necessàries per al procediment. Això implica evitar la inclusió de dades supèrflues en resolucions i procedir a la pseudonimització en documents accessibles a tercers o publicats, especialment en casos sensibles (menors, violència de gènere, etc.).
  • Exactitud (art. 5.1.d RGPD): les dades han de ser veraces i actualitzades.
  • Conservació (art. 5.1.e RGPD): una vegada finalitzat el procediment, s'ha de procedir a l'arxiu, el bloqueig o l'expurgació segons la normativa, evitant la conservació indefinida injustificada.
  • Integritat i confidencialitat (art. 5.1.f RGPD): és obligatori adoptar mesures per evitar accessos no autoritzats o pèrdues d'informació. El deure de secret s'estén a tot el personal i els professionals intervinents, subsistint fins i tot després del cessament de funcions.

4. Exercici de Drets

Els ciutadans tenen dret a:

  • Ser informats sobre el tractament de les vostres dades, i s'ha de complir aquest deure d'informació per part del responsable, almenys, en la primera notificació realitzada a les parts.
  • Accedir, rectificar i/o suprimir les dades personals, així com a oposar-se o limitar-ne el tractament.
  • Presentar una reclamació davant de l'autoritat de control si consideren que el tractament no és conforme al RGPD.

Tot i això, en l'àmbit judicial:

  • Les sol·licituds dexercici de drets es tramitaran conforme a les lleis processals aplicables al cas.
  • S'hi pot denegar l'accés si les diligències han estat declarades secretes o reservades.

5. Bretxes de seguretat

Una bretxa de seguretat (pèrdua, destrucció o accés indegut a dades) ha de ser gestionada proactivament:

  • Hi ha l'obligació de notificar l'escletxa a l'autoritat de control quan pot suposar un risc per als afectats fins i tot informar-los si aquest risc és alt.
  • La Direcció de Supervisió i Control de Protecció de Dades del CGPJ facilita un formulari per notificar les bretxes de seguretat.
  • És fonamental documentar l'incident i adoptar mesures per mitigar danys i evitar que es torni a produir.

6. Recomanacions sobre mesures de seguretat

La guia emfatitza en mesures per al personal, entre d'altres i com a essencials:

  • Control d'accessos: no facilitar contrasenyes, bloquejar l'equip en absentar-se i restringir l'accés a expedients només a qui intervingui legítimament.
  • Informació telefònica: no facilitar dades personals ni contingut de resolucions per telèfon, i limitar-se a informació general sobre l'estat del procés.
  • Lliurament de documentació: exigir identificació (DNI) per a lliuraments presencials i evitar enviar còpies d'actuacions o dades sensibles per correu electrònic, ja que no en garanteix la confidencialitat.
  • Eines d'intel·ligència artificial:
    • No utilitzar sistemes d'intel·ligència artificial que no hagin estat autoritzats per les administracions prestacionals o el mateix CGPJ.
    • Per a més informació, consultar la Instrucció 2/2026 del CGPJ sobre la utilització de sistemes d'intel·ligència artificial a l'exercici de l'activitat jurisdiccional.